ISO/IEC 27005:2008


27005ISO/IEC 27005:2008 este numele primului standard din familia 27000, care tratează managementul riscurilor de securitate informațională. Standardul prevede linii directorii pentru managementul riscurilor de securitate a informaţiilor într-o organizaţie, sprijinind cerinţele sistemului de management al securităţii informaţiilor definite de ISO/IEC 27001.

Organizatii de toate tipurile sunt ingrijorate fata de ameninţările care ar putea compromite securitatea lor informationala şi gestionare acestui aspect a devenit o preocupare principală pentru departamentele de tehnologie a  informaţiei (IT). Noul standard internationa ISO / IEC 27005:2008 descrie procesul de gestionare a riscurilor securitatii informatiei şi a acţiunilor conexe.

Ameninţările pot fi premeditate sau accidentale, şi se pot referi fie la utilizarea, aplicarea sistemelor IT sau aspecte  fizice şi de mediu. Aceste ameninţări pot lua orice formă de la furtul de identitate, riscurile de a face afaceri on-line, respingerea atacurilor asupra serviciului de la distanţă, spionaj, furt de echipamente sau a documentelor prin intermediul unui fenomen seismic sau climatic, incendii, inundaţii sau probleme de pandemie. Aceste ameninţări pot duce la diverse impacturi, de exemplu, pierderile financiare sau deteriorarea, pierderea unor servicii de reţea esenţiale, pierderea încrederii clienţilor prin eşecul echipamentelor de telecomunicaţii.

Un risc este o combinaţie dintre consecinţele care ar urma de la producerea unui eveniment nedorit şi probabilitatea de apariţie a evenimentului. Evaluarea riscurilor cuantificat sau calitativ permite managerilor de a acorda prioritate riscurile în funcţie de gravitatea perceputa a acestora sau de alte criterii stabilite.

Standardul ISO/IEC 27005:2008 cuprinde 55 pagini, şi este aplicabil tuturor tipurilor de organizații. Acesta nu oferă sau recomandă o metodologie specifică. Acest lucru va depinde de o serie de factori, cum ar fi domeniul de aplicare a sistemului de management al securității informației, sau poate sectorul comercial.
Cuprinsul standardului ISO/IEC 27005:
• Cuvânt înainte;
• Introducere;
• Referinţe normative;
• Termeni şi definiţii;
• Structura organizatorică;
• Istoric;
• Prezentarea procesului de management al riscurilor de securitate informațională;
• Stabilirea contextului;
• Evaluarea riscurilor de securitate a informației;
• Tratarea riscurilor de securitate a informației;
• Acceptarae riscurilor de securitate a informației;
• Comunicarea riscurilor de securitate a informației;
• Monitorizarea și revizuirea riscurilor de securitate a informației;
• Anexa A: Definirea scopului procesului;
• Anexa B: Evaluarea activelor şi evaluarea impactului;
• Anexa C: Exemple de amenințări tipice;
• Anexa D: Vulnerabilităţile şi metode de evaluare a vulnerabilităţii;
• Anexa E: Abordarea privind evaluarea riscurilor de securitate a informației.

Advertisements

2 Responses to ISO/IEC 27005:2008

  1. Sergiu says:

    ___Ce fel de securitate informationala poate fi, cand canalele de acces la reteaua I-net sunt realizate printr-un sistem complex de analiza a corespondentei si accesarilor plasat in subsolurile SIS-ului?
    ___Spre exemplu, propun sa vizionati filmul “Atac asupra Moldovei”, unde clar este expus si prezentat tot arsenalul IT al unui stat ca RM. Cum atunci poate fi respectata securitate informationala a intreprinderilor si organizatiilor cind I-net-ul este monopolizat de “Moldtelecom”?

  2. Ion MUNTEAN says:

    Aceasta intrebare mi-a fost pusa inca de cineva la sustinerea unei lucrari din acest domeniu. Raspunsul se ascunde in procedura de certificare. Standarde sunt o multime, iar din 2007 acestea sunt si voluntare. Odata ce o organizatie are implementat un standard care se certifica, aceasta trece procedura de certificare pe acest standard (examenul prin care se aduna dovezi obiective si se confirma ca organizatia data indeplineste toate cerintele prevazute de acest standard). Certificarea o efectueaza un organism de certificare acreditat. Uite aici se explica si lucrurile, nu poti pune pe acelasi cintar certificatul eliberat de un organism de certificare international, cum ar fi AJA recunoscut in Anglia Japonia si Amerca, cu cel eliberat de catre Institutul National de Standardizare si Metrologie al RM. In contextul comentariului tau Sergiu, nu cred ca primul ar risca sa-si puna stampila pe un certificat care nu are acoperire prin dovezi obiective de satisfacere a cerintelor standardului.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: